Unser Datenschutz-Update im November 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den November 2025.

1. Nachrichten aus der Welt des Datenschutzes

Neue Mustervertragsklauseln (Model Contractual Terms (MTCs) 2nach dem Data Act

Die Europäische Kommission hat am 19. November 2025 neue – nicht verbindliche – Mustervertragsklauseln nach Art. 41 Data Act veröffentlicht. Mit den Model Contractual Terms (MCTs) und den Standard Contractual Clauses (SCCs) für Cloud-Computing kann erstmals ein einheitlicher Rahmen für Datenzugang, Datennutzung und Cloud-Portabilität in der EU entstehen.

Für Unternehmen, die Daten teilen, verarbeiten oder Cloud-Services nutzen, sind die Vorlagen ein entscheidender Orientierungspunkt.

Was ist der Data Act – und warum braucht es Mustervertragsklauseln?

Der EU Data Act schafft europaweit verbindliche Regeln für den fairen Zugang zu Daten und die Nutzung vernetzter Produkte und Dienste. Seit dem 12. September 2025 gelten neue Pflichten für:

• Hersteller:innen und Dateninhaber:innen vernetzter Produkte
• Cloud- und Datenverarbeitungsanbieter:innen
• Nutzer:innen und Datenempfänger:innen
• Unternehmen, die freiwillig Daten teilen möchten

Bislang sehr unterschiedliche Datenverträge sollen künftig harmonisiert werden. Art. 41 Data Act verpflichtet die EU-Kommission, nicht bindende Mustervertragsklauseln bereitzustellen, die Unternehmen eine rechtssichere und standardisierte Vertragsgestaltung ermöglichen.

Model Contractual Terms (MCTs): Das neue Referenzmodell für Datenzugang und Datennutzung

Die Model Contractual Terms sind freiwillige, aber marktprägende Vertragsmuster. Sie decken alle typischen Szenarien des Data Act ab:

• Verträge zwischen Dateninhaber:innen und Nutzer:innen
• Datenweitergabe zwischen Nutzer:innen und Dritten
• Direkte Bereitstellung von Daten an Datenempfänger:innen
• Freiwilliges Datenteilen über gesetzliche Mindestpflichten hinaus

Zentrale Inhalte der MCTs

Die Musterklauseln enthalten strukturierte Vorgaben zu:

• Definition der Daten, Datenqualität und Datenformaten
• Umfang der Zugriffsrechte und Datennutzung
• Schutz von Geschäftsgeheimnissen
• Technischen und organisatorischen Maßnahmen
• Bereitstellungsfristen und Vergütungsmodellen
• Abgrenzung personenbezogener und nicht-personenbezogener Daten

Damit umfassen die MCTs die Kernanforderungen des Data Act und reduzieren Risiken wie unfaire Vertragskonditionen oder Informationsasymmetrien.

Standard Contractual Clauses (SCCs) für Cloud-Computing sollen weniger Lock-in, und mehr Portabilität ermöglichen.

Ergänzend zu den MCTs hat die Kommission Standardvertragsklauseln für Cloud-Computing-Verträge veröffentlicht. Ziel ist ein europaweit einheitlicher Rahmen für Datenportabilität zwischen Cloud-Anbieter:innen:

• Fair gestaltete Switching-Prozesse
• Klare Regeln für Vertragsende und Datenlöschung
• Stabile Vorgaben zu Datensicherheit und Business Continuity
• Vermeidung von Cloud-Lock-in

Für Cloud-Nutzer:innen und Anbieter:innen schaffen die SCCs erstmals eine transparente, rechtssichere Grundlage für den Anbieter:innenwechsel.

Für Unternehmen: Warum sich die Integration jetzt lohnt

Obwohl die Muster nicht rechtlich bindend sind, wird erwartet, dass sie sich schnell zu einem europaweiten Industriestandard entwickeln können. Unternehmen profitieren dabei insbesondere von:

• Effizienteren Vertragsprozessen dank vorstrukturierter Klauseln
• Reduzierung rechtlicher Risiken und typischer Data-Act-Fallstricke
• Erleichterung bei Cloud-Migration und Datenportabilität
• Weniger Aufwand für Compliance, insbesondere für KMU

Empfehlung:

Unternehmen sollten bestehende Daten-Sharing-Verträge zeitnah überprüfen, neue Verträge an den MCTs und SCCs ausrichten und interne Prozesse an die modulare Struktur anpassen.

Offene Punkte bleiben auch nach den neuen Musterklauseln

Trotz ihrer Detailtiefe lassen die Musterklauseln einige Fragen offen – insbesondere solche, die für die Praxis hochrelevant sind:

„Angemessene Vergütung“ bei der Datenbereitstellung bleibt ein Auslegungsthema.

• Schnittstellen zu Datenschutz (DSGVO), Geschäftsgeheimnisschutz und Wettbewerbsrecht müssen je nach Anwendungsfall bewertet werden.
• Die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten ist weiterhin komplex und unternehmensspezifisch.

Fazit: Mit den neuen Model Contractual Terms und Cloud-SCCs hat die EU erstmals ein umfassendes Vertragswerk für Datenzugang, Datennutzung und Cloud-Services geschaffen. Die Chancen stehen gut, dass mit ihnen mehr Rechtssicherheit, klarere Verträge und dadurch für Unternehmen ein nützliches Werkzeug zur Umsetzung des Data Act geschaffen wird.

Mehr dazu finden Sie hier: https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding?utm_source=chatgpt.com

Bericht des HBDI: Microsoft 365 kann datenschutzkonform genutzt werden

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zum Einsatz von Microsoft 365 (M365) veröffentlicht – mit einem klaren Ergebnis: Microsoft 365 kann in Hessen datenschutzkonform genutzt werden.

Damit erhalten Unternehmen und Behörden erstmals eine verlässliche Orientierung, wie M365 innerhalb der Anforderungen der DSGVO und aktueller europäischer Rechtslage rechtskonform betrieben werden kann.

Warum war die Bewertung zu Microsoft 365 so wichtig?

Microsoft 365 wird in Unternehmen und Behörden nahezu flächendeckend genutzt. Lange stand die Frage im Raum, ob die Cloud-Software überhaupt datenschutzrechtskonform betrieben werden kann – insbesondere vor dem Hintergrund früherer Kritik der Datenschutzkonferenz (DSK) am Data Protection Addendum (DPA) von Microsoft.

Der neue Bericht des HBDI bringt nun Klarheit für Verantwortliche in Hessen und sollte bundesweit ein Signal setzen. HBDI Prof. Dr. Alexander Roßnagel betont: „Das positive Ergebnis bietet Unternehmen und Behörden grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten.“

Was sich seit 2022 geändert hat

Die DSK hatte im Jahr 2022 festgestellt, dass das damalige DPA von Microsoft (Stand 15. September 2022) nicht ausreicht, um einen DSGVO-konformen Betrieb von M365 nachzuweisen. Grundlage waren sieben Kritikpunkte, die maßgeblich in die Verhandlungen zwischen HBDI und Microsoft eingeflossen sind. Seitdem haben sich wesentliche Rahmenbedingungen verändert:

• Neue Rechtslage für Datentransfers: Durch das EU-US Data Privacy Framework ist die Übermittlung personenbezogener Daten in die USA wieder zulässig
• Microsofts EU-Datengrenze („EU Data Boundary“): Microsoft verarbeitet inzwischen fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum (EWR)
• Ausführliche Erläuterungen zum Datenschutzkonzept: Microsoft hat gegenüber dem HBDI detailliert dargelegt, wie Datenverarbeitungen ausgestaltet sind
• Weiterentwicklung des DPA für öffentliche Stellen: Das DPA wurde angepasst, um Anforderungen der DSGVO explizit abzubilden
• Neue Informationsquellen und Transparenzinstrumente: Microsoft stellt zusätzliche Dokumentationen bereit – u.a. das M365-Kit für Datenschutzdokumentation.

Erforderliche Bewertung einzelner M365 Features bleibt

Der HBDI betont allerdings ausdrücklich: Die Bewertung ersetzt keine technische Sicherheitsanalyse einzelner M365-Dienste. Sie basiert auf der rechtlichen und konzeptionellen Darstellung der Datenverarbeitung. 

Die 7 früheren Kritikpunkte – und wie Microsoft sie adressiert hat. 

Der HBDI erläutert in seinem Bericht detailliert, wie Microsoft jeden der sieben Kritikpunkte der DSK entschärft hat:

1. Unklare Informationen zu Zweck, Art und Kategorien der Datenverarbeitung
   Neuer Stand:
   Microsoft hat umfangreiche Dokumentationen bereitgestellt und das DPA für öffentliche Stellen überarbeitet. Verantwortliche können die Datenverarbeitung nun detailliert im Verarbeitungsverzeichnis abbilden.
2. Unzureichend definierte Rechte zur Verarbeitung für eigene Zwecke
   Neuer Stand:
   Microsoft verarbeitet nur Log- und Diagnosedaten, keine Inhaltsdaten – und ausschließlich anonymisiert bzw. aggregiert. Dies fällt teils nicht unter die DSGVO oder ist datenschutzrechtlich vertretbar.
3. Weitreichende Befugnisse zur weisungslosen oder Drittstaaten-Offenlegung
   Neuer Stand:
   Microsoft verpflichtet sich im DPA ausdrücklich – Daten nur auf dokumentierte Weisung zu verarbeiten und Offenlegungen vollständig den Vorgaben der DSGVO zu unterwerfen.
4. Unzureichende Zusage zu DSGVO-Sicherheitsmaßnahmen
   Neuer Stand:
   Microsoft garantiert im überarbeiteten DPA ausdrücklich die Einhaltung der von Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen (TOMs).
5. Mangelhafte Lösch- und Rückgaberegelungen
   Neuer Stand:
   Microsoft bietet verlässliche Löschprozesse und ermöglicht Kund:innen, Daten selbst oder beschleunigt löschen zu lassen.
6. Fehlende Informationen zu Änderungen bei Unterauftragnehmer:innen
   Neuer Stand:
   Im Service Trust Portal veröffentlicht Microsoft 6 Monate bzw. 1 Monat vorab detaillierte Informationen zu neuen Unterauftragnehmer:innen über automatisierte Benachrichtigungen für alle Kund:innen
7. Unzulässige Drittstaatenübermittlungen
   Neuer Stand:
   Fast alle personenbezogenen Daten werden im EWR verarbeitet.
   Verbleibende Übermittlungen sind durch Angemessenheitsbeschlüsse und Standardvertragsklauseln rechtlich gedeckt.

Was bedeutet der Bericht für Unternehmen und Behörden?

Der HBDI-Bericht schafft lang erhoffte Rechtssicherheit. Verantwortliche können M365 grundsätzlich datenschutzkonform nutzen – unter der Voraussetzung, dass sie die beschriebenen Rahmenbedingungen beachten.

Handlungsempfehlungen für Verantwortliche

• eigene Risikoanalysen durchführen
• einzelne M365-Dienste konkreten Verarbeitungszwecken zuordnen
• technische und organisatorische Maßnahmen dokumentieren
• Datenflüsse, Logs und Berechtigungen fortlaufend überprüfen
• das M365-Kit und die Transparenzdokumente nutzen
• im Zweifel eine vertiefende Datenschutzprüfung einzelner Funktionen vornehmen

Wenn diese Voraussetzungen erfüllt sind, steht einem DSGVO-konformen Einsatz von Microsoft 365 wenig im Wege.

Fazit: Der Bericht des HBDI markiert einen Wendepunkt in der Datenschutzdebatte um Microsoft 365. Microsoft hat seine Datenschutzpraxis weiterentwickelt, die europäische Rechtslage sich verändert hat, wodurch eine datenschutzkonforme Nutzung von M365 möglich ist, sofern Verantwortliche sorgfältig vorgehen.
Für Unternehmen und Behörden bedeutet das mehr Planungssicherheit, bessere Compliance und endlich klare Leitplanken für den Alltag mit Microsoft 365.

EU „Digital Omnibus“: EU- Kommission schlägt umfassende Reformen bei DSGVO, KI-Verordnung und Cookie-Regeln vor

Die Europäische Kommission hat ihren umfassenden Reformvorschlag unter dem Titel „Digital Omnibus“ vorgestellt. Das Paket umfasst Änderungen an zentralen EU-Rechtsakten – darunter DSGVO, KI-Verordnung und die Cookie-Regeln der ePrivacy-Richtlinie. Ziel ist es, digitale Verfahren zu vereinfachen, bürokratische Hürden abzubauen und gleichzeitig den hohen EU-Datenschutzstandard zu wahren. Die Kommission rechnet mit Einsparungen von rund fünf Milliarden Euro bis 2029. Dennoch zeichnen sich kontroverse Debatten unter Datenschutzexpert:innen ab – insbesondere im Bereich Auskunftsrechte, Rechtsmissbrauch und Einsatz von KI. (Kritisch dazu Heise, Max Schrems; eher positive Äußerungen in Beck Aktuell und FAZ.)

Ein Überblick über die wichtigsten Neuerungen.

DSGVO-Reform: Präzisierungen, Vereinheitlichungen und neue Konzepte

Die Änderungen zur Datenschutz-Grundverordnung (DSGVO) bilden das Herzstück des Digital Omnibus. Sie betreffen sowohl Grundbegriffe als auch die praktische Umsetzung durch Unternehmen und Behörden.

1. Neues Konzept der „relativen personenbezogenen Daten“
   Erstmals wird gesetzlich klargestellt, dass pseudonymisierte Daten für die bzw. den übermittelnde:n Verantwortliche:n personenbezogen sein können, für die Empfänger:innen jedoch anonym, sofern eine Re-Identifizierung ausgeschlossen ist.
   Dieses Konzept basiert auf dem SRB-Urteil vom September 2025 und trägt der Datenverarbeitung in komplexen Ökosystemen Rechnung.
2. Automatisierte Entscheidungen klarer zulässig
   Künftig gilt ausdrücklich, dass automatisierte Entscheidungen zulässig sind, sofern sie auf Vertrag, Gesetz oder Einwilligung beruhen – auch dann, wenn theoretisch eine manuelle Entscheidung möglich wäre.
3. Rechtsmissbrauch als neuer Ablehnungsgrund beim Auskunftsrecht
   Die DSGVO soll ergänzt werden um einen klaren Rechtsmissbrauchstatbestand:
   Auskunftsbegehren dürfen abgelehnt werden, wenn Betroffene ihre Rechte zweckwidrig oder missbräuchlich einsetzen. Erwartet wird eine kontroverse Diskussion zur Abgrenzung legitimer und missbräuchlicher Anträge.
4. Verlängerte Meldefrist bei Hochrisiko-Verstößen
   Die Meldefrist gegenüber Aufsichtsbehörden wird von 72 auf 96 Stunden erweitert – allerdings nur für besonders schwerwiegende Vorfälle.
5. One-Stop-Reporting für DSGVO, NIS2 und DORA
   Ein gemeinsamer Meldepunkt soll künftig sämtliche Vorfallmeldungen aus DSGVO, NIS2 und DORA bündeln. Das reduziert Doppelmeldungen und schafft einheitliche Abläufe.
6. Einheitliche DPIA-Vorlagen durch den EDPB
   Das EDPB soll verpflichtende DPIA-Vorlagen und Bewertungsmethodiken herausgeben, um europaweit einheitliche Datenschutz-Folgenabschätzungen zu gewährleisten.
7. Forschungserleichterungen
   Folge-Verarbeitungen zu wissenschaftlichen Forschungszwecken gelten automatisch als zweckkompatibel. Informationspflichten können entfallen, wenn sie unverhältnismäßig oder unmöglich zu erfüllen wären. Dies ist insbesondere für Universitäten, Forschungsinstitute und Life-Science-Unternehmen relevant.

Modernisierung der Cookie-Regeln: Weniger Banner, mehr Nutzerkontrolle

Auch die Cookie-Regeln sollen an heutige technische Realitäten angepasst werden – mit dem Ziel, Bannerflut und Komplexität zu reduzieren.

1. Weniger wiederkehrende Cookie-Banner
   Nach einer abgelehnten Einwilligung darf erst nach sechs Monaten erneut gefragt werden. Das soll Nutzer:innen mehr Ruhe und Webseiten mehr Stabilität bringen.
2. Ein-Klick-Einwilligung & zentrale Verwaltung
   Nutzer:innen können künftig mit einem einzigen Klick einwilligen und Einwilligungen zentral in Browser- oder Betriebssystemeinstellungen verwalten.
3. Ausnahme für Medienanbieter:innen
   Medienhäuser dürfen trotz zentraler Einstellungen individuell um Zustimmung bitten, um Geschäftsmodelle abzusichern.
4. Erweiterte Ausnahmen
   Cookies können ohne Einwilligung gesetzt werden für:
   – aggregierte Reichweitenmessungen,
   – Sicherheitszwecke,
   – reine Kommunikationsübertragung.

KI-Verordnung: Anpassungen für Innovation, Rechtssicherheit und KMU

Die vorgeschlagenen Änderungen der KI-Verordnung (AI Act) sollen Übergänge erleichtern, Rechtsgrundlagen präzisieren und kleinen Unternehmen mehr Flexibilität ermöglichen. 

1. Aufschub der Umsetzungsfristen für Hochrisiko-Systeme
   Die Umsetzung kann um bis zu 16 Monate verschoben werden – bis einheitliche technische Standards verfügbar sind.
2. Neue Rechtsgrundlage für besondere Datenkategorien
   Der Digital Omnibus sieht die neue Rechtsgrundlage Art. 9 Abs. 2 lit. k DSGVO vor, die eng begrenzt den Einsatz sensibler Daten für KI-Training und -Tests erlaubt – nur wenn Maßnahmen bestehen, die eine Datenerhebung eigentlich verhindern sollen.
3. Legitimes Interesse als Basis für KI-Entwicklung
   Für bestimmte KI-Trainingsprozesse kann sich die Verarbeitung personenbezogener Daten künftig auf das berechtigte Interesse stützen.
4. Biometrische Verifizierung unter Nutzer:innenkontrolle erlaubt
   Biometrische Verifizierung bleibt zulässig, sofern die biometrischen Daten vollständig unter Kontrolle der Nutzer:innen stehen.
5. Entlastungen speziell für KMU
   Kleine und mittlere Unternehmen profitieren von:
   • vereinfachter technischer Dokumentation,
   • leichterem Zugang zu regulatorischen Sandboxes,
   • verlängerten Umsetzungsfristen.

Zeitplan und Ausblick
Der Digital Omnibus wird nun im Europäischen Parlament und im Rat beraten. Eine Entscheidung wird 2026, möglicherweise 2027 erwartet.
Für einzelne Reformbereiche gelten unterschiedliche Übergangsfristen:

1. Cookie-Regeln: voraussichtlich 6 Monate
2. DSGVO-Anpassungen: gestaffelt
3. KI-Verordnung: abhängig von der Risikokategorie

Fazit: Der Digital Omnibus ist die umfassendste EU-Digitalreform seit Jahren. Für Unternehmen könnte das mehr Klarheit und weniger Bürokratie bedeuten– aber auch neue Pflichten und Anpassungsbedarf. Die kommenden Gesetzgebungsverhandlungen werden entscheiden, wie weitreichend die Reformen letztlich ausfallen.

2. Entscheidungen des Monats

LG Aachen: Einwilligung muss aktiv abgegeben werden.

Eigentlich nichts Neues mehr, doch in einem Urteil vom 17.03.2025, Az. 15 O 88/24 des LG Aachen hat das Gericht noch einmal klar gestellt, dass eine wirksame Einwilligung nach DSGVO nicht nur freiwillig und informiert, sondern auch aktiv abgegeben werden muss. 

„Eine Einwilligung im Rechtssinne setzt die Willensbekundung einer Person voraus, welche ohne jeden Zweifel als Einwilligung zu werten ist. „

Damit liegt auch dann keine wirksame – aktive – Abgabe einer Einwilligung vor, wenn die betroffene Person eine bereits voreingestellt markierte Einwilligung so belässt. 

BGH Beschluss: Arbeitnehmer:innen sind grundsätzlich keine Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO

Mit Beschluss vom 07.10.2025 (Az. VI ZR 297/24) hat der Bundesgerichtshof (BGH) zu einer immer wiederkehrende zentrale Frage der Datenschutzpraxis Stellung genommen: Arbeitnehmer:innen sind im Regelfall keine datenschutzrechtlich Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO.

Damit folgt der BGH der Linie des Europäischen Gerichtshofs (EuGH). Besonders relevant ist der Beschluss vor dem Hintergrund steigender Schadensersatzklagen nach Art. 82 DSGVO. 

Warum die Frage der Verantwortlichkeit so wichtig ist

Die Einordnung, wer „Verantwortlicher“ im Sinne der DSGVO ist, ist mehr als ein juristisches Detail. Sie entscheidet darüber: 

• Wer für die Einhaltung der DSGVO verantwortlich ist.
• Wer Informationspflichten erfüllen muss.
• Wer für Datenschutzverstöße haftet.
• Gegen wen Schadensersatzansprüche geltend gemacht werden können.

Nach Art. 4 Nr. 7 DSGVO ist Verantwortliche:r, wer über Zwecke und Mittel der Datenverarbeitung entscheidet. Beschäftigte tun das typischerweise nicht – sie handeln im Auftrag ihrer Arbeitgeberin bzw. ihres Arbeitgebers. 

Ausgangslage: Zunahme von Schadensersatzklagen und „Mitarbeiterexzessen“

Der Fall vor dem BGH betraf einen Schadensersatzanspruch wegen einer mutmaßlichen Datenschutzverletzung eines Mitarbeiters. Die Klägerin wollte erreichen, dass der einzelne Beschäftigte als Verantwortlicher haftet – nicht nur das Unternehmen. Parallel hatten Aufsichtsbehörden mehrfach Bußgelder gegen einzelne Beschäftigte verhängt, beispielsweise: 

• LfDI Baden-Württemberg: 3.500 € Bußgeld gegen einen Polizeibeamten wegen unbefugter Melderegisterabfrage.
• HmbBfDI: mehrere Bußgelder gegen Polizeibeschäftigte und andere Beamte wegen unzulässiger Datenabfragen zu privaten Zwecken.

Diese Fälle betreffen jedoch regelmäßig sogenannte Mitarbeiterexzesse – also Situationen, in denen Beschäftigte Daten außerhalb ihrer Aufgaben, aus rein privaten Motiven und weisungswidrig verarbeiten. Doch bedeuten solche Fälle, dass Mitarbeiter:innen auch datenschutzrechtlich „Verantwortliche“ sein können? 

Der BGH lehnt dies ab: Arbeitnehmer:innen handeln nicht als Verantwortliche.

Der BGH weist die Nichtzulassungsbeschwerde zurück und erklärt die Rechtslage für eindeutig: Arbeitnehmer:innen sind grundsätzlich keine Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO. Sie handeln typischerweise als unterstellte Personen nach Art. 29 DSGVO. Damit stützt sich der BGH ausdrücklich auf die gefestigte EuGH-Rechtsprechung, welcher betont, dass Beschäftigte integrierte Teile des Unternehmens sind – nicht eigenständige Entscheider:innen über Verarbeitungszwecke oder -mittel. Der BGH kritisiert zudem, dass die Klägerin sich nicht hinreichend mit dieser gefestigten Rechtsprechung auseinandergesetzt habe. 

Bedeutung für die Praxis

Der Beschluss bringt wichtige Klarstellungen, die sowohl Unternehmen als auch Beschäftigte betreffen.

1. Haftung liegt beim Unternehmen – nicht bei Mitarbeiter:innen
   Schadensersatzansprüche nach Art. 82 DSGVO richten sich regelmäßig gegen das Unternehmen als Verantwortlichen.
2. Mitarbeiter:innen haften nur in Ausnahmefällen
   Nur wenn Beschäftigte:
   1. weisungsfrei,
   2. eigenständig und
   3. außerhalb ihrer dienstlichen Pflichten personenbezogene Daten verarbeiten, können sie ausnahmsweise selbst Verantwortliche sein. Beispiel: ein Polizeibeamter, der eine Datenbank aus rein privatem Interesse durchsucht.
3. Interne Compliance-Strukturen sind entscheidend
   Damit Unternehmen ihrer Verantwortlichkeit gerecht werden, brauchen sie u. a.:
   • klare Weisungen zur Datenverarbeitung
   • dokumentierte Rollen- und Berechtigungskonzepte
     regelmäßige Schulungen
   • technische und organisatorische Sicherheitsmaßnahmen
4. Schadensersatzforderungen müssen richtig adressiert werden
   BGH: Klagen gegen einzelne Mitarbeitende haben nur in Ausnahmefällen Aussicht auf Erfolg.

Fazit: 
Mit seinem Beschluss vom 7. Oktober 2025 bestätigt der BGH eindeutig die etablierte Auslegung des EU-Rechts: Unternehmen sind für Datenschutzverstöße verantwortlich – nicht ihre Beschäftigten.
Für Verantwortliche bedeutet das weniger Rechtsunsicherheit in Schadensersatzverfahren,
klare Zuweisung der Haftung bei den Arbeitgeber:innen, bessere Handhabbarkeit von Datenschutzvorfällen und Meldestrukturen.
Für Betroffene gilt hingegen: Wer Schadensersatz nach Art. 82 DSGVO geltend macht, muss genau prüfen, gegen wen sich der Anspruch richtet.

3. Das schreiben die Anderen zum Datenschutz

• Beschlagnahme geschäftlicher E-Mails in wettbewerbsrechtlich…
• Chatkontrolle und neue EU-Regeln: Freiwilligkeit statt Pflicht

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter